LockBit 2.0 gana terreno al reclutar nuevos afiliados

LockBit 2.0 RaaS, anteriormente conocido como ransomware ABCD, ha estado funcionando durante tres años. Este junio, la pandilla había publicado anuncios sobre el reclutamiento de afiliados. Ahora, la actividad muestra que el reclutamiento fue realmente exitoso.

Las actividades de LockBit 2.0 se habían disminuido hace un tiempo debido a la mayor presión de las fuerzas del orden. Sin embargo, con los reclutamientos exitosos se produjeron cambios en la infraestructura y cargas útiles mejoradas. La actividad en el sitio web del grupo muestra que LockBit es seis veces más activo que su competencia.

Los sitios de soporte y filtración de datos de LockBit se pueden ver tanto en sitios web superficiales dark web. Los investigadores detectaron infraestructura recientemente registrada para ambos sitios.

Más de una docena de nuevas muestras se enviaron a VirusTotal desde que se lanzó LockBit 2.0. Si bien la mayoría de las funcionalidades son las mismas en esta versión, las actualizaciones incluyen el cambio de nombre de la clave de registro, donde la clave RSA se almacena y la creación de un mutex durante el proceso de cifrado.

La nueva técnica de implementación es una mejora significativa en esta versión. La carga útil se puede implementar automáticamente en los clientes de Microsoft Active Directory a través de Objetos de directiva de grupo.

Los sectores industriales y financieros representaron la mayor parte de los ataques con un 20,8% cada uno, seguidos por el sector mayorista con un 14,6% y los sectores de la construcción y servicios profesionales con un 4,2% cada uno.

La mayoría de las víctimas (22,9%) se encuentran en América del Norte y Europa. Otros provienen de América del Sur, Asia, ANZ y África. Sin embargo, aún no se han identificado patrones de focalización específicos.

LockBit no ha mostrado signos de detenerse o desacelerarse. De hecho, están constantemente publicando filtraciones en el sitio que tienen destinado a eso.